Control interno

Gestión de riesgos organizacionales

El control interno , tal como lo definen la contabilidad y la auditoría , es un proceso para asegurar los objetivos de una organización en cuanto a eficacia y eficiencia operativa , informes financieros confiables y cumplimiento de leyes, regulaciones y políticas. El control interno es un concepto amplio que involucra todo aquello que controla los riesgos de una organización.

Es un medio por el cual se dirigen, monitorean y miden los recursos de una organización. Desempeña un papel importante en la detección y prevención del fraude y en la protección de los recursos de la organización, tanto físicos (por ejemplo, maquinaria y propiedad) como intangibles (por ejemplo, reputación o propiedad intelectual, como marcas registradas).

A nivel organizacional, los objetivos de control interno se relacionan con la confiabilidad de los informes financieros, la retroalimentación oportuna sobre el logro de los objetivos operativos o estratégicos y el cumplimiento de las leyes y regulaciones. A nivel de transacción específica, los controles internos se refieren a las acciones tomadas para lograr un objetivo específico (por ejemplo, cómo asegurar que los pagos de la organización a terceros sean por servicios válidos prestados). Los procedimientos de control interno reducen la variación del proceso, lo que conduce a resultados más predecibles. El control interno es un elemento clave de la Ley de Prácticas Corruptas en el Extranjero (FCPA) de 1977 y la Ley Sarbanes-Oxley de 2002, que exigieron mejoras en el control interno en las corporaciones públicas de los Estados Unidos. Los controles internos dentro de las entidades comerciales también se conocen como controles operativos . Los principales controles establecidos a veces se denominan "controles financieros clave" (KFC). ^[1]

Historia temprana del control interno

Los controles internos existen desde la antigüedad. En el Egipto helenístico existía una administración dual, con un grupo de burócratas encargados de recaudar impuestos y otro de supervisarlos. En la República de China , la Autoridad de Supervisión (检察院; pinyin : Jiǎnchá Yùan), una de las cinco ramas del gobierno, es un organismo de investigación que supervisa a las demás ramas del gobierno.

Definiciones

Existen muchas definiciones de control interno, ya que afecta a los distintos grupos de interés (partes interesadas) de una organización de diversas maneras y en diferentes niveles de agregación.

Según el Marco Integrado de Control Interno COSO , un marco ampliamente utilizado no sólo en los Estados Unidos sino en todo el mundo, el control interno se define ampliamente como un proceso, efectuado por la junta directiva, la gerencia y otro personal de una entidad, diseñado para proporcionar una seguridad razonable respecto del logro de los objetivos relacionados con las operaciones, los informes y el cumplimiento.

COSO define el control interno como un conjunto de cinco componentes:

1. Entorno de control: establece el tono de la organización e influye en la conciencia de control de su personal. Es la base de todos los demás componentes del control interno.
2. Evaluación de riesgos: la identificación y el análisis de los riesgos relevantes para el logro de los objetivos, que forman una base para la forma en que deben gestionarse los riesgos.
3. Información y comunicación: sistemas o procesos que apoyan la identificación, captura e intercambio de información en una forma y en un marco temporal que permitan a las personas llevar a cabo sus responsabilidades.
4. Actividades de control: las políticas y procedimientos que ayudan a garantizar que se lleven a cabo las directivas de gestión.
5. Monitoreo: procesos utilizados para evaluar la calidad del desempeño del control interno a lo largo del tiempo.

La definición de COSO se relaciona con el sistema de control agregado de la organización, que se compone de muchos procedimientos de control individuales.

La SEC define los procedimientos de control discretos, o controles , como: "...un conjunto específico de políticas, procedimientos y actividades diseñadas para cumplir un objetivo. Un control puede existir dentro de una función o actividad designada en un proceso. El impacto de un control... puede ser a nivel de toda la entidad o específico para un saldo de cuenta, una clase de transacciones o una aplicación. Los controles tienen características únicas; por ejemplo, pueden ser: automatizados o manuales; conciliaciones; segregación de funciones; autorizaciones de revisión y aprobación; salvaguarda y rendición de cuentas de activos; prevención o detección de errores o fraudes. Los controles dentro de un proceso pueden consistir en controles de informes financieros y controles operativos (es decir, aquellos diseñados para lograr objetivos operativos)". ^[2]

Contexto

En términos más generales, la fijación de objetivos, presupuestos, planes y otras expectativas establecen criterios para el control. El control en sí mismo existe para mantener el desempeño o una situación dentro de lo esperado, permitido o aceptado. El control integrado en un proceso es de naturaleza interna. Se lleva a cabo con una combinación de componentes interrelacionados, como el entorno social que afecta el comportamiento de los empleados, la información necesaria para el control y las políticas y procedimientos. La estructura de control interno es un plan que determina cómo se compone el control interno de estos elementos. ^[3]

Los conceptos de gobierno corporativo también dependen en gran medida de la necesidad de controles internos. Los controles internos ayudan a garantizar que los procesos funcionen según lo previsto y que se lleven a cabo las respuestas a los riesgos (tratamientos de riesgos) en la gestión de riesgos (COSO II). Además, deben existir circunstancias que garanticen que los procedimientos antes mencionados se llevarán a cabo según lo previsto: actitudes correctas, integridad y competencia, y supervisión por parte de los gerentes.

Roles y responsabilidades en el control interno

Según el marco COSO, todos los miembros de una organización tienen alguna responsabilidad por el control interno. Prácticamente todos los empleados producen información que se utiliza en el sistema de control interno o toman otras medidas necesarias para afectar el control. Además, todo el personal debería ser responsable de comunicar a los directivos superiores los problemas en las operaciones, el incumplimiento del código de conducta u otras violaciones de políticas o acciones ilegales. Cada entidad importante en la gobernanza corporativa tiene un papel particular que desempeñar:

Gestión

El director ejecutivo (el gerente superior) de la organización tiene la responsabilidad general de diseñar e implementar un control interno eficaz. Más que cualquier otra persona, el director ejecutivo marca el " tono desde arriba " que afecta a la integridad, la ética y otros factores de un entorno de control positivo. En una gran empresa, el director ejecutivo cumple con este deber proporcionando liderazgo y dirección a los gerentes superiores y revisando la forma en que controlan el negocio. Los gerentes superiores, a su vez, asignan la responsabilidad de establecer políticas y procedimientos de control interno más específicos al personal responsable de las funciones de la unidad. En una entidad más pequeña, la influencia del director ejecutivo, a menudo un propietario-gerente, suele ser más directa. En cualquier caso, en una responsabilidad en cascada, un gerente es efectivamente un director ejecutivo de su esfera de responsabilidad. De particular importancia son los directores financieros y su personal, cuyas actividades de control se extienden a lo largo y ancho de las unidades operativas y de otro tipo de una empresa.

Junta Directiva

La dirección es responsable ante el consejo de administración, que se encarga de la gobernanza, la orientación y la supervisión. Los miembros eficaces del consejo son objetivos, capaces e inquisitivos. También conocen las actividades y el entorno de la entidad y dedican el tiempo necesario para cumplir con sus responsabilidades en el consejo. La dirección puede estar en posición de pasar por alto los controles e ignorar o reprimir las comunicaciones de los subordinados, lo que permite una gestión deshonesta que tergiversa intencionalmente los resultados para ocultar sus huellas. Un consejo fuerte y activo, en particular cuando se combina con canales de comunicación ascendentes eficaces y funciones financieras, legales y de auditoría interna competentes, suele ser el más capacitado para identificar y corregir este tipo de problemas.

Funciones y responsabilidades de auditoría

Auditores

Los auditores internos y externos de la organización también miden la eficacia del control interno a través de sus esfuerzos. Evalúan si los controles están diseñados adecuadamente, implementados y funcionando de manera eficaz, y hacen recomendaciones sobre cómo mejorar el control interno. También pueden revisar los controles de tecnología de la información , que se relacionan con los sistemas de TI de la organización. Para proporcionar una seguridad razonable de que los controles internos involucrados en el proceso de presentación de informes financieros son efectivos, son probados por el auditor externo (los contadores públicos de la organización), quienes deben opinar sobre los controles internos de la empresa y la confiabilidad de sus informes financieros.

Comité de auditoría

El papel y las responsabilidades del comité de auditoría, en términos generales, son: (a) Discutir con la administración, auditores internos y externos y partes interesadas principales la calidad y adecuación del sistema de control interno y el proceso de gestión de riesgos de la organización, y su eficacia y resultados, y reunirse regularmente y en privado con el Director de Auditoría Interna; (b) Revisar y discutir con la administración y los auditores externos y aprobar los estados financieros auditados de la organización y hacer una recomendación sobre la inclusión de esos estados financieros en cualquier presentación pública. También revisar con la administración y el auditor independiente el efecto de las iniciativas regulatorias y contables, así como las cuestiones fuera de balance en los estados financieros de la organización; (c) Revisar y discutir con la administración los tipos de información que se deben divulgar y los tipos de presentaciones que se deben hacer con respecto al comunicado de prensa de ganancias de la compañía y la información financiera y la guía de ganancias proporcionada a los analistas y agencias de calificación; (d) Confirmar el alcance de las auditorías que deben realizar los auditores externos e internos, monitorear el progreso y revisar los resultados y revisar los honorarios y gastos. Revisar los hallazgos significativos o los informes insatisfactorios de auditoría interna, o los problemas o dificultades de auditoría encontrados por el auditor externo independiente. Monitorear la respuesta de la gerencia a todos los hallazgos de auditoría; (e) Gestionar las quejas relacionadas con contabilidad, controles contables internos o asuntos de auditoría; (f) Recibir informes regulares del director ejecutivo, director financiero y otros comités de control de la empresa sobre deficiencias en el diseño u operación de los controles internos y cualquier fraude que involucre a la gerencia u otros empleados con un papel significativo en los controles internos; y (g) Apoyar a la gerencia en la resolución de conflictos de interés. Monitorear la suficiencia de los controles internos de la organización y asegurar que se tomen medidas en todos los casos de fraude.

Comité de beneficios del personal

El rol y las responsabilidades del personal de beneficios, en términos generales, son: (a) Aprobar y supervisar la administración del Programa de Compensación Ejecutiva de la compañía; (b) Revisar y aprobar asuntos específicos de compensación para el director ejecutivo, director de operaciones (si corresponde), director financiero, asesor general, oficial superior de recursos humanos, tesorero, director, relaciones corporativas y administración, y directores de la compañía; (c) Revisar, según corresponda, cualquier cambio en asuntos de compensación para los funcionarios enumerados anteriormente con el directorio; y (d) Revisar y monitorear todas las actividades e informes de desempeño y cumplimiento relacionados con los recursos humanos, incluido el sistema de gestión del desempeño. También se aseguran de que las medidas de desempeño relacionadas con los beneficios sean utilizadas adecuadamente por la administración de la organización.

Personal operativo

Todos los miembros del personal deben ser responsables de informar sobre los problemas de las operaciones, supervisar y mejorar su desempeño y controlar el incumplimiento de las políticas corporativas y los diversos códigos profesionales, o las violaciones de las políticas, normas, prácticas y procedimientos. Sus responsabilidades particulares deben estar documentadas en sus expedientes personales. En las actividades de gestión del desempeño, participan en todas las actividades de recopilación y procesamiento de datos sobre cumplimiento y desempeño, ya que forman parte de varias unidades organizativas y también pueden ser responsables de diversas actividades relacionadas con el cumplimiento y las operaciones de la organización.

El personal y los gerentes subalternos pueden participar en la evaluación de los controles dentro de su propia unidad organizacional utilizando una autoevaluación de controles .

Monitoreo continuo de controles

Los avances en tecnología y análisis de datos han llevado al desarrollo de numerosas herramientas que pueden evaluar automáticamente la eficacia de los controles internos. Utilizado en conjunto con la auditoría continua , el monitoreo continuo de los controles brinda seguridad sobre la información financiera que fluye a través de los procesos de negocios.

Normas de auditoría

Existen leyes y reglamentos sobre control interno relacionados con la presentación de informes financieros en varias jurisdicciones. En los EE. UU., estos reglamentos están establecidos específicamente en las Secciones 404 y 302 de la Ley Sarbanes-Oxley . La guía sobre auditoría de estos controles se especifica en

• SSAE No. 18 publicado por el Instituto Americano de Contadores Públicos Certificados (AICPA)
• Norma de auditoría n.º 5 publicada por la Junta de Supervisión Contable de Empresas Públicas (PCAOB)
• Orientación de la SEC que se analiza con más detalle en la evaluación de riesgos de arriba hacia abajo SOX 404 .

Limitaciones

El control interno puede proporcionar una seguridad razonable, no absoluta, de que se cumplirán los objetivos de una organización. El concepto de seguridad razonable implica un alto grado de seguridad, limitado por los costos y beneficios de establecer procedimientos de control incrementales.

Un control interno eficaz implica que la organización genera información financiera fiable y cumple en gran medida con las leyes y regulaciones que le son aplicables. Sin embargo, el logro de los objetivos operativos y estratégicos por parte de una organización puede depender de factores externos a la empresa, como la competencia o la innovación tecnológica. Estos factores quedan fuera del alcance del control interno; por lo tanto, un control interno eficaz sólo proporciona información o retroalimentación oportuna sobre el progreso hacia el logro de los objetivos operativos y estratégicos, pero no puede garantizar su consecución.

Descripción de los controles internos

Los controles internos pueden describirse en términos de:

a) el objetivo pertinente o la afirmación del estado financiero

b) la naturaleza de la propia actividad de control.

Categorización de objetivos o afirmaciones

Las afirmaciones son manifestaciones de la dirección incorporadas en los estados financieros. Por ejemplo, si un estado financiero muestra un saldo de $1000 en activos fijos , esto implica que la dirección afirma que los activos fijos realmente existen a la fecha de los estados financieros, cuya valuación es exactamente de $1000 (según el costo histórico o el valor razonable, según el marco de información y las normas) y que la entidad tiene pleno derecho/obligación que surge de dichos activos (por ejemplo, si están arrendados, se debe revelar en consecuencia). Además, dichos activos fijos deben revelarse y representarse correctamente en el estado financiero de acuerdo con el marco de información financiera aplicable a la empresa.

Los controles pueden definirse en relación con la afirmación del estado financiero en particular a la que se refieren. Hay cinco afirmaciones de este tipo que forman el acrónimo "PERCV" (que se pronuncia "percibir"):

1. Presentación y revelación: Las cuentas y revelaciones están adecuadamente descritas en los estados financieros de la organización.
2. Existencia/Ocurrencia/Validez: Sólo se procesan transacciones válidas o autorizadas.
3. Derechos y obligaciones: Los activos son los derechos de la organización y los pasivos son sus obligaciones a una fecha determinada.
4. Integridad: Se procesan todas las transacciones que deben realizarse.
5. Valoración: Las transacciones se valoran con precisión utilizando la metodología adecuada, como un medio de cálculo o una fórmula específicos.

Por ejemplo, un objetivo de control de validez podría ser: "Los pagos se realizan únicamente por los productos y servicios autorizados recibidos". Un procedimiento de control típico sería: "El sistema de pagos compara la orden de compra, el registro de recepción y la factura del proveedor antes de autorizar el pago". La gerencia es responsable de implementar controles adecuados que se apliquen a todas las transacciones en sus áreas de responsabilidad.

Categorización de actividades

Las actividades de control también pueden explicarse por el tipo o la naturaleza de la actividad. Estas incluyen (sin limitarse a ello):

• Segregación de funciones : separar las funciones de autorización, custodia y mantenimiento de registros para evitar fraudes o errores por parte de una persona.
• Autorización de transacciones: revisión de transacciones particulares por una persona apropiada.
• Conservación de registros: mantenimiento de la documentación para fundamentar las transacciones.
• Supervisión o seguimiento de operaciones: observación o revisión de la actividad operativa en curso.
• Medidas de seguridad físicas: uso de cámaras, cerraduras, barreras físicas, etc. para proteger la propiedad, como el inventario de mercancías.
• Revisiones de alto nivel: análisis de los resultados reales frente a los objetivos o planes de la organización, revisiones operativas periódicas y regulares, métricas y otros indicadores clave de rendimiento (KPI).
• Controles generales de TI – Controles relacionados con: a) Seguridad, para garantizar que el acceso a los sistemas y datos esté restringido al personal autorizado, como el uso de contraseñas y la revisión de registros de acceso; y b) Gestión de cambios , para garantizar que el código del programa esté controlado adecuadamente, como la separación de los entornos de producción y prueba, pruebas del sistema y del usuario de los cambios antes de su aceptación, y controles sobre la migración del código a producción.
• Controles de aplicaciones de TI: controles sobre el procesamiento de información aplicados por aplicaciones de TI, como verificaciones de edición para validar la entrada de datos, contabilización de transacciones en secuencias numéricas y comparación de totales de archivos con cuentas de control.

Precisión de control

La precisión del control describe la alineación o correlación entre un procedimiento de control particular y un objetivo de control o riesgo determinado. Se dice que un control con un impacto directo en el logro de un objetivo (o mitigación de un riesgo) es más preciso que uno con un impacto indirecto en el objetivo o riesgo. La precisión es distinta de la suficiencia; es decir, pueden estar involucrados múltiples controles con distintos grados de precisión en el logro de un objetivo de control o la mitigación de un riesgo.

La precisión es un factor importante a la hora de realizar una evaluación de riesgos descendente según SOX 404. Después de identificar riesgos específicos de inexactitudes materiales en los informes financieros, la dirección y los auditores externos deben identificar y probar los controles que mitiguen los riesgos. Esto implica emitir juicios sobre la precisión y la suficiencia de los controles necesarios para mitigar los riesgos.

Los riesgos y controles pueden ser a nivel de entidad o a nivel de afirmación, según las directrices del PCAOB. Los controles a nivel de entidad se identifican para abordar los riesgos a nivel de entidad. Sin embargo, normalmente se identifica una combinación de controles a nivel de entidad y a nivel de afirmación para abordar los riesgos a nivel de afirmación. El PCAOB estableció una jerarquía de tres niveles para considerar la precisión de los controles a nivel de entidad. ^[4] Las directrices posteriores del PCAOB con respecto a las pequeñas empresas públicas proporcionaron varios factores a considerar para evaluar la precisión. ^[5]

Tipos de políticas de control interno

El control interno desempeña un papel importante en la prevención y detección del fraude . ^[6] Según la Ley Sarbanes-Oxley, las empresas deben realizar una evaluación del riesgo de fraude y evaluar los controles relacionados. Esto normalmente implica identificar escenarios en los que podría producirse un robo o una pérdida y determinar si los procedimientos de control existentes gestionan eficazmente el riesgo a un nivel aceptable. ^[7] El riesgo de que la alta dirección pueda pasar por alto importantes controles financieros para manipular los informes financieros también es un área clave en la que se centra la atención en la evaluación del riesgo de fraude. ^[8]

La AICPA, el IIA y la ACFE también patrocinaron una guía publicada durante 2008 que incluye un marco para ayudar a las organizaciones a gestionar su riesgo de fraude. ^[9]

Controles internos y mejora de procesos

Los controles se pueden evaluar y mejorar para que las operaciones de una empresa funcionen de manera más eficaz y eficiente. Por ejemplo, la automatización de controles que son manuales por naturaleza puede ahorrar costos y mejorar el procesamiento de transacciones. Si los ejecutivos consideran que el sistema de control interno es solo un medio para prevenir el fraude y cumplir con las leyes y regulaciones, pueden perder una oportunidad importante. Los controles internos también se pueden utilizar para mejorar sistemáticamente las empresas, en particular en lo que respecta a la eficacia y la eficiencia.

Véase también

• Director ejecutivo de auditoría
• Tres líneas de defensa

Referencias

1. Barnet Council, Key Financial Controls, publicado en marzo de 2016, consultado el 29 de enero de 2020
2. "Guía de la Comisión sobre el informe de la dirección sobre el control interno de la información financiera en virtud de la sección 13(a) o 15(d) de la Ley de Intercambio de Valores de 1934" (PDF) . Guía interpretativa de la SEC . Comisión de Bolsa y Valores. 20 de junio de 2007.
3. Matti Mattila: El modelo ECAR Archivado el 31 de octubre de 2007 en Wayback Machine.
4. "Norma de auditoría n.º 5: Una auditoría del control interno sobre la información financiera que se integra con una auditoría de los estados financieros". Public Company Accounting Oversight Board . Consultado el 24 de enero de 2014 .
5. "Guía para auditores de empresas públicas de menor tamaño" (PDF) . Public Company Accounting Oversight Board. 23 de enero de 2009.
6. Rezaee, Zabihollah. Fraude en los estados financieros: prevención y detección. Nueva York: Wiley; 2002.
7. "Programas y controles de gestión antifraude" (PDF) . Instituto Americano de Contadores Públicos Certificados. Archivado desde el original (PDF) el 28 de junio de 2007. Consultado el 25 de junio de 2007 .
8. "La administración ignora los controles internos" (PDF) . Instituto Americano de Contadores Públicos Certificados. 2005. Archivado desde el original (PDF) el 2007-09-27 . Consultado el 2007-06-25 .
9. "Gestión del riesgo empresarial de fraude: una guía práctica" (PDF) . Instituto Americano de Contadores Públicos Certificados . Consultado el 24 de enero de 2014 .^{[ enlace muerto permanente ]}

Enlaces externos

• Organización de las Entidades Fiscalizadoras Superiores (INTOSAI) ^{[ enlace muerto permanente ]}
• Comité de Organizaciones Patrocinadoras de la Comisión Treadway: Control Interno – Marco Integrado (1992)
• Asociación de Control Interno del Estado de Nueva York (NYSICA)
• Rafik Ouanouki1 y Alain April (2007). "Medición de la conformidad de los procesos de TI: un requisito de la ley Sarbanes-Oxley" (PDF) . Actas de la IWSM - Mensura 2007 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )